今年迄今规模最大的 DeFi 攻击,起于一场有免费酒水的社交酒会——Drift Protocol 在 4 月 5 日披露,其在 Apr. 1 hack 中遭遇的攻击,是一场长达六个月的情报行动,目前已被以中高置信度关联至朝鲜背景的国家级威胁行为体。
Drift Protocol 攻击详情
这次渗透行动始于 2025 年秋季,当时一支自称为量化交易公司的团队在一场大型加密货币大会上接触了 Drift 的贡献者。began 之后的几个月里,他们在多个国家的行业活动中与团队成员多次线下面对面会谈。
他们向一个生态系统金库(Ecosystem Vault)存入了超过 100 万美元的自有资金。
他们在多次工作会谈中提出大量细致的产品问题,看起来是在 Drift 的基础设施中搭建一套合法的交易业务。
在 2025 年 12 月至 2026 年 3 月期间,这个团体通过金库集成以及在各类会议上的持续线下会面进一步加深了关系。贡献者们没有发现任何可疑之处——到攻击发生时,双方已经保持了近半年的合作关系,包括核实过的专业背景、深入的技术交流以及在链上的真实业务活动。
当 4 月 1 日攻击爆发时,该团体在 Telegram 上的聊天记录以及恶意软件都被清理干净。取证审查锁定了两条可能的入侵路径:一是以部署金库前端为名共享的恶意代码仓库,二是被他们称为“钱包产品”的 TestFlight 应用。
一个已知存在漏洞的 VSCode 与 Cursor 编辑器(安全社区在 2025 年 12 月到 2026 年 2 月期间一直在发出警告)可能被利用,使攻击者仅通过受害者打开文件就实现静默代码执行。
协议剩余功能目前已全部冻结,被攻陷的钱包也已从多签中移除。Mandiant 已介入调查,攻击者相关钱包在各大交易所和跨链桥运营方都已被标记。
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
被怀疑的朝鲜威胁行为体
SEALS 911 团队的调查结果显示,以中高置信度判断,此次行动与 2024 年 10 月 Radiant Capital 被黑事件背后的是同一批威胁行为体。
Mandiant 先前已将那次攻击归因于 UNC4736,这是一个与朝鲜有关联的国家级黑客组织,同时也被称为 AppleJeus 或 Citrine Sleet。
两起事件的关联既体现在链上证据,也体现在作案模式上。
用于筹备和测试此次 Drift 行动的资金流,能够追溯至 Radiant 攻击者;整个行动中所使用的人物身份与已知的朝鲜(DPRK)相关活动存在重叠。值得注意的是,在线下露面的人员并非朝鲜国籍——在这一层级的行动中,朝鲜威胁行为体往往会通过第三方中间人来进行面对面接触。
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline